Шон Доэрти: «Россия — один из основных источников таких угроз, как спам и ботнеты». Фото: Symantec
Шон Доэрти: «Россия — один из основных источников таких угроз, как спам и ботнеты». Фото: Symantec

В кулуарах конференции Symantec Technology Day 2011, прошедшей 31 мая в Москве, эксклюзивное интервью Computerworld Россия дал Шон Доэрти, директор по технологиям группы корпоративной информационной безопасности Symantec. В беседе с нашим корреспондентом он оценил уровень киберпреступности в России и рассказал о современной стратегии компании.

В зарубежных СМИ неоднократно озвучивалось мнение, что Россия становится оплотом киберпреступности. Вы разделяете эту точку зрения?

Думаю, следует с большой осторожностью относиться к статистическим данным и оценкам той активности, которая и определяет местонахождение оплота киберпреступности. Мы в своем отчете об угрозах интернет-безопасности опубликовали данные, согласно которым Россия является одним из основных источников таких угроз, как спам и ботнеты. Но это может быть побочным эффектом развивающейся экономики. Когда в стране за короткий срок появляется большое количество новых пользователей широкополосных сетей, они, как правило, еще недостаточно опытны и не готовы защитить свои компьютеры должным образом. Эту тенденцию мы наблюдали в ряде стран, не только в России.

Кто больше страдает от российских злоумышленников — местные или зарубежные компании?

Киберпреступники выбирают в качестве своих жертв и местных пользователей, и зарубежных. По нашим данным, сформировался международный рынок услуг киберпреступности. Мы делим этот рынок на три основных сегмента. Участники первого сегмента сфокусированы на незаконном проникновении в чужие информационные системы. Другой сегмент нацелен на выявление мест расположения важной информации, а третий — на ее последующее извлечение. Последние два этапа вредоносной деятельности нередко выполняют одни и те же люди. Но если атака организована сложным образом, злоумышленники разделяют обязанности между собой. Вполне возможна ситуация, когда взлом и проникновение осуществляет группа российских хакеров, выявлением важных ресурсов занимаются китайцы, а собственно «выемку товара» производят в Америке.

Каковы ваши рекомендации для нашей страны? Что нам следует предпринять, чтобы повысить уровень информационной безопасности?

Наши рекомендации в этой области адресованы всем странам, не только России. Во-первых, необходимо вкладывать средства и усилия в просвещение граждан, и эти граждане должны осознать ценность информации. Это важнейший элемент общей системы информационной безопасности. При условии того что такое просвещение обеспечено, мы можем перейти к формированию политик и свода правил в этой сфере, правил, которые были бы понятны и бизнесу, и гражданам. При наличии двух этих условий пользователям станет проще понять ценность средств противодействия киберпреступности, и они станут эффективно применять их по назначению, например, для выявления случаев фишинга и прочих мошеннических схем.

По некоторым оценкам, российские хакеры зарабатывают в совокупности около 2 млрд долл. в год. Надо полагать, эти люди в достаточной степени осознают ценность добываемой информации...

Да, но объем доходов киберпреступников во всем мире составляет около 800 млрд долл. в год.

Если абстрагироваться от географических деталей, то откуда сегодня исходят главные угрозы корпоративным ИТ-системам и их пользователям? Что предлагает для защиты от этих угроз Symantec? Какова стратегия компании?

Наша стратегия состоит в том, чтобы обеспечивать защиту информации. Можно выделить пять основных направлений этой стратегии. Первое — реализация политик в области информационной безопасности и применение методик, позволяющих оценить действенность этих политик. По результатам наших исследований мы видим, что в организациях, внедривших политики и осуществляющих замеры их эффективности, значительно снижаются как количество нарушений режима безопасности, так и затраты на его поддержание. Поэтому формирование политик — очень важное направление стратегии безопасности.

Второе направление — собственно защита конфиденциальной информации. В этой части важно ее местонахождение. Информация располагается в самых разных местах — в статическом виде на серверах или в системах хранения, в устройствах конечных пользователей, а также в сети в момент передачи данных. Обнаружить места расположения ценной информации можно с помощью технологии DLP. После выявления важных данных можно предпринять различные действия — удалить эти данные, переместить их в надежное хранилище или зашифровать.

Третье направление касается идентификации пользователей. Именно для решения этой проблемы мы в прошлом году приобрели компанию VeriSign. Разработанные ее инженерами системы дают возможность точно идентифицировать пользователей, имеющих доступ к информации, — не только физических лиц, но и компании. В перспективе планируется усовершенствовать продукты VeriSign с использованием облачных технологий.

Каким образом?

Недавно мы объявили о начале работ над новым, очень интересным проектом. Его называют по-разному — «Озон», либо «О3». Название выбрано по аналогии с озоновым слоем, который защищает Землю от жесткого космического излучения. Проект позволит управлять идентификационными данными пользователей всех облачных сервисов. Решение будет реализовано с помощью технологий VeriSign.

Следующий важнейший элемент нашей стратегии — управление системами. Значение данного направления неуклонно возрастает применительно к данным и физическим системам. Необходимо своевременное обновление программного обеспечения на вычислительных устройствах, чтобы устанавливались необходимые заплатки в течение всего жизненного цикла этих устройств. А к моменту, когда используемые устройства окончательно устареют и будут исключены из информационной системы, с них должны быть автоматически удалены все важные данные.

Пятое направление — это защита инфраструктуры, а именно аппаратных средств. В данной области решаются задачи защиты от различных видов вредоносных программ. За последние два года, еще до того как случилась знаменитая атака Stuxnet на иранский ядерный объект, мы зафиксировали повышение спроса на средства защиты нетрадиционных пользовательских устройств и конечных точек. Например, известны случаи, когда роботизированные линии в компаниях, производящих автомобили, оказались заражены червем Conficker. Причем речь может идти о непреднамеренных атаках на подобные системы — мы можем стать свидетелями побочных эффектов распространения вредоносного кода, нарушающих производственную деятельность предприятий. Поэтому спрос наблюдается на устройства защиты традиционных компьютерных устройств, станков с ЧПУ, печатных машин и другого оборудования.

По оценкам экспертов, для разработки вируса Stuxnet потребовалось несколько месяцев. А сколько времени потратили специалисты Symantec, чтобы понять, как он устроен, и предложить средства нейтрализации?

На самом деле Stuxnet разрабатывался несколько лет, в течение которых появлялись его разные версии. Для того чтобы полностью разобраться, как он устроен, нам потребовалось несколько недель. Что касается последствий возможного заражения этим вирусом, то они были проанализированы очень быстро — буквально за несколько минут. Гораздо дольше пришлось разбираться в вопросе, каким образом этот зловредный код взаимодействует с автоматизированными системами управления производством.

Вообще, это тенденция — атаки злоумышленников становятся более целенаправленными, и при этом используются редкие экземпляры вредоносных программ. В этой связи мы стали уделять большое внимание развитию защитных решений, основанных на оценках репутации программного обеспечения. При борьбе с малораспространенными типами вредоносного кода такой подход оказывается более эффективным, чем метод сигнатур например. К тому же применение репутационного метода дает системным администраторам возможность выбрать способ защиты информации, потому что они могут принимать решения о приемлемом уровне репутации постороннего ПО — индивидуально в каждой компании.